Warnung vor einem recht agressiven Wurm: w32/MyDoom@MM
Ich habe von gestern morgen bis jetzt 12 mails mit verdächtigem Inhalt bekommen und per Kontrolle mit dem Programm Popcorn abfangen können.
Wichtig: das Muster ist neu. Es kommt eine mail scheinbar an mich zurück mit dem Inhalt, ich hätte mit meinem Absender rr@solarmobil.net einen Virus verschickt.
<b>Also Warnung: offenbar wird auch mein Absender rr@solarmobil.net als (gefälschte) Absenderangabe benutzt. </b>
Hier die Beschreibung des Wurms:
Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
-
Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.
Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen.
Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen.
Und hier die ausführliche Beschreibung aus dem Internet von den Seiten des Bundesamtes für Information (oder so ähnlich):
W32.Novarg.A@mm
[27.01.2004 10:45]
Name: W32.Novarg.A@mm
Alias: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]
Art: Wurm
Größe des Anhangs: 22.528 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: mittel-hoch
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DOS Angriff gegen www.sco.com
Spezielle Entfernung: -
bekannt seit: 26. Januar 2004
Beschreibung:
W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusätzlich verbreitet er sich über KaZaA.
Bei der Infektion des Systems installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteueren. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.
Am 1. Februar startet der Wurm eine Denial of Sevice (DOS) Attacke gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter.
Der Wurm erzeugt die Datei shimgapi.dll im Systemverzeichnis von Windows.
Dieses Programm öffnet die TCP-Ports 3127 bis 3198 und arbeitet als Proxy-Server.
Durch den Registrierungs-Schlüssel
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
wird die Datei gestartet, wenn Explorer.exe geöffnet wird.
Die Datei taskmon.exe wird im Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon, wird sie durch eine Kopie des Wurms ersetzt.
Diese startet automatisch durch den Registrierungs-Schlüssel
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
oder
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mit dem Wert
TaskMon = %System% askmon.exe
Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.
In Dateien mit den Endungen
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A verwendet zur Verbreitung seine eigene SMTP-Maschine.
Die E-Mail hat folgende Charakteristik:
Von: <Adresse gefälscht>
Betreff: <eine der folgenden>
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Nachricht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Name des Anhangs: <einer der folgenden>
document
readme
doc
text
file
data
test
message
body
Datei-Endung
pif
scr
exe
cmd
bat
zip
Größe des Anhangs: 22.528 Bytes
Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA, als Datei
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
mit der Dateiendung
pif
scr
bat
exe
Hinweise zur Entfernung des Wurms
Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung[1] deaktivieren.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von
NAI (stinger.exe): Direkt-Download[2] oder Download mit Informationen[3]
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 27.01.2004)
URL dieses Artikels:
http://www.heise.de/security/artikel/44038
Links in diesem Artikel:
[1] http://www.heise.de/security/artikel/39543
[2] http://download.nai.com/products/mcafee-avert/stinger.exe
[3] http://vil.nai.com/vil/stinger/
Copyright © 2004 Heise Zeitschriften Verlag